您的位置:360文档中心› 46-基于SSID和基于VLAN的用户隔离典型配置举例

46-基于SSID和基于VLAN的用户隔离典型配置举例

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

基于SSID和基于VLAN的用户隔离典型配置举例

Copyright © 2014 杭州华三通信技术有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

目录

1 简介 (1)

2 配置前提 (1)

3 基于VLAN的用户隔离配置举例 (1)

3.1 组网需求 (1)

3.2 配置注意事项 (1)

3.3 配置步骤 (2)

3.3.1 AC的配置 (2)

3.3.2 Switch的配置 (3)

3.4 验证配置 (4)

3.5 配置文件 (5)

4 基于SSID的用户隔离配置举例 (6)

4.1 组网需求 (6)

4.2 配置注意事项 (6)

4.3 配置步骤 (7)

4.3.1 AC的配置 (7)

4.3.2 Switch的配置 (8)

4.4 验证配置 (9)

4.5 配置文件 (10)

5 相关资料 (11)

i

1

1 简介

本文介绍了基于VLAN 和基于SSID 的用户隔离典型配置举例。

2 配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解用户隔离特性。

3 基于VLAN 的用户隔离配置举例

3.1 组网需求

如图1所示,DHCP 服务器为AP 和Client 分配IP 地址,Client 通过AP 接入无线网络。由于处于同一VLAN 的用户是能够互访的,这可能带来安全性问题,采用基于VLAN 的用户隔离,解决此问题,具体要求如下:

AP 和Client 正常上线; ∙ 同一VLAN 的两台Client 无法互访。

图1 基于VLAN 的用户隔离配置组网图

3.2 配置注意事项

为了使用户隔离不会影响用户与网关的互通,将网关地址加入用户隔离允许列表。 ∙ 配置AP 的序列号时请确保该序列号与AP 唯一对应,AP 的序列号可以通过AP 设备背面的

标签获取。

AC Switch AP

DHCP server

Client 1

Client 2

3.3 配置步骤

3.3.1 AC的配置

(1) 配置AC的接口

# 创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 100.1.1.1 255.255.0.0

[AC-Vlan-interface100] quit

# 创建VLAN 200作为ESS接口的缺省VLAN。

[AC] vlan 200

[AC-vlan200] quit

# 创建VLAN 300作为Client接入的业务VLAN。

[AC] vlan 300

[AC-vlan300] quit

# 将与Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk,配置PVID为100,禁止VLAN1通过,允许VLAN 100和VLAN 300通过。

[AC] interface gigabitethernet 1/0/1

[AC-GigabitEthernet1/0/1] port link-type trunk

[AC-GigabitEthernet1/0/1] port trunk pvid vlan 100

[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 300

[AC-GigabitEthernet1/0/1] quit

(2) 配置WLAN-ESS口和服务模板

# 创建编号为1的WLAN-ESS接口。

[AC] interface wlan-ess 1

# 配置端口的链路类型为Hybrid。

[AC-WLAN-ESS1] port link-type hybrid

# 配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许VLAN 200不带tag通过。

[AC-WLAN-ESS1] undo port hybrid vlan 1

[AC-WLAN-ESS1] port hybrid vlan 200 untagged

[AC-WLAN-ESS1] port hybrid pvid vlan 200

# 使能MAC VLAN功能。

[AC-WLAN-ESS1] mac-vlan enable

[AC-WLAN-ESS1] quit

# 创建clear类型的无线服务模板1。

[AC] wlan service-template 1 clear

# 设置当前服务模板的SSID为service。

[AC-wlan-st-1] ssid service

2

相关文档
最新文档